IT-Sicherheitstechnologien: Richtig investieren, aber wie?

„Wer den Kernel angreift, erhält die Kontrolle über die Daten“, argumentiert Live-Forensic-Spezialist Brian Carrier. Die Antwort, wie man sich dagegen schützt, wäre im Prinzip gar nicht so schwer, wenn nicht die so genannte „Live-Forensic“ im Verdacht stünde, sich als nachgelagerter Forensic-Hype zu etablieren. Für deren Verbreitung soll der Nutzer jetzt sorgen. „Es gibt mehr und mehr Tools, manche sind ziemlich teuer“, sagt Carrier.

„Live-Digital Forensic-Analyse“ bedeutet per Definition, dass die Software in der Lage sein sollte, bereits zum Zeitpunkt des Vorfalls den Vorgang genau zu analysieren und natürlich auch sofort Alarm zu schlagen, so dass der Einbrecher auf frischer Tat ertappt wird. Sozusagen Strafverfolgung just in time. Klingt gut. Allerdings hat auch hier der professionelle Angreifer die Möglichkeit, das System entsprechend zu modifizieren oder „den Vorfall im Gedächtnis des Computers entsprechend zu überschreiben“, beschreibt Carrier die Tücken.

Deswegen seien Rootkits gefragt, die auf Kernel-Ebene nicht zu entdecken sind, fordert der Experte. Allerdings fehle noch die Patentlösung am Markt. Die Live-Forensic-Analyse steckt immer noch in den Kinderschuhen, das weiß auch Carrier. Die Grenzlinien zu modifizierten IDS-Produkten sind fließend.

Derartige Lösungen sind nicht nur teuer – auch der praktische Nutzen sowie der rechtliche Rahmen sind umstritten, etwa in wie weit die Dokumentation bei der Live Forensic tatsächlich gerichtsverwertbar ist – und die Unternehmen das Problem nicht sowieso viel lieber auf elegantere Art und Weise hinter den Kulissen lösen, als den Schuldigen vor die Öffentlichkeit zu zerren.